Usando un dispositivo HSM para la generación de firma de código

Navega tus respuestas
1

Actualmente genero firmas de código para mi paquete de código abierto mediante openssl.

La forma en que lo hago es:

  1. Genere un par de claves privadas y públicas RSA (por ejemplo, openssl genrsa)

  2. Durante el empaquetado, creo una firma generando un resumen sha-512 para el paquete y cifrando el resumen utilizando la clave privada (por ejemplo, openssl dgst -sign)

  3. Le doy mi clave pública a la persona que está descargando el paquete, y ellos verifican el paquete usando mi clave pública y la firma (por ejemplo, openssl dgst -verify)

Estoy considerando usar un servidor HSM para almacenar mi clave privada para mayor seguridad, pero quiero mantener el flujo de trabajo de verificación igual para mis usuarios.

Por ejemplo, quiero que mis usuarios puedan verificar la firma utilizando openssl sin tener que acceder al dispositivo HSM.

¿Este flujo de trabajo sería posible con dispositivos de tipo HSM (por ejemplo, CloudHSM de AWS)?

Gracias por tu ayuda.

    
pregunta jdoe 02.11.2016 - 21:55
fuente

1 respuesta

1

Sí. Por supuesto, los usuarios no necesitan ningún acceso al HSM en absoluto. Solo necesitan la clave pública.

Esto es lo que se hace con una tarjeta inteligente y un certificado x.509. El certificado se entrega a otros usuarios. Obtienen el certificado como un archivo . Contiene la clave pública. Por lo general, no saben nada acerca de la clave privada.

La clave privada podría generarse en una tarjeta inteligente o HSM.

    
respondido por el cornelinux 02.11.2016 - 23:36
fuente

Lea otras preguntas en las etiquetas

Establecer sesión Metasploit PREROUTING interfaces SSL MITM